指定地址之前的“!”参数表示反转地址。标志--src是此选项的别名。可以指定多个地址,但这将扩展到多个规则(使用-A添加时),或将导致多个规则被删除(使用-D)。 [!] -d, --destination address[/mask][,...] 指定目的地址。有关语法的详细描述,请参见-s(source)标志的描述。标志--dst是此选项的别名。 -m...
3)开放本机的ssh服务给192.168.1.1-192.168.1.100 中的主机; 新请求建立的速率一分钟不得超过2个; 仅允许响应报文通过其服务端口离开本机; 设置如下: iptables -A INPUT -p tcp --dport 22 -m iprange --src-rang 192.168.1.1-192.168.1.100 -m limit --limit 2/m -j ACCEPT iptables -A OUTPUT -p...
-I: 在链的开头(或指定序号)插入一条规则 -s: --src: 指定源地址,支持连续端口 --tcp-flags mask comp 只检查mask指定的标志位,是逗号分隔的标志位列表; comp: 此列表中出现的标记位必须为1, comp中没出现, 而mask中出现的必须为0; --tcp-flags SYN,FIN,ACK,RST SYN,ACK == --syn SYN为1,其他...
-s --src 指定源IP -d --dst 指定目的IP -p {tcp|udp|icmp} -i INTERFACE 指定数据报文流入的接口(例2) 可用于定义的链:PREROUTING,INPUT,FORWARD -o INTERFACE 指定输入报文流入的接口 可用于定义的链:OUTPUT,POSTROUTING,FORWARD 2>.扩展匹配
-m iprange [ --src-range | --dst-range IP1-IP2] 4. 连接数限制模块: -m connlimit [!] [ --connlimit-above 允许的最大连接数 ] 5. 限速模块: -m limit [ --limit 个数/[second |minute |hour |day] --limit-burst 初始允许的最大峰值个数(默认5个) ] ...
# iptables -I INPUT -d 172.16.0.7 -p tcp -m multiport --dports 22,80,139,445,3306 -m iprange --src-range 172.16.0.61-172.16.0.70 -j REJECT 3、time 匹配数据包到达的时间 --timestart hh:mm[:ss] --timestop hh:mm[:ss]
[!]--src-range 匹配源地址范围 [!]--dst-range 匹配目标地址范围 [!]--limit 四配数据表速率 [!]--mac-source 匹配源MAC地址 [!]--sports 匹配源端口 [!]--dports 匹配目标端口 [!]--stste 匹配状态(INVALID、ESTABLISHED、NEW、RELATED) ...
12、-m iprange --src-range:用于IP匹配,指定多个连续的源IP地址; 13、-m multiport --sports:用于端口匹配,指定多个源端口; 14、-m multiport --dports:用于端口匹配,指定多个目的端口; 15、-m mac --mac-source:用于mac地址匹配,指定某个mac地址; ...
--src-range 192.168.1.1-192.168.10.100 -m limit --limit-rate 2/minute -j ACCEPT iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP # 把这条规则放入到INPUT链的第一条,对于已建立的连接直接放行,提高效率。